Thought Leadership
Der offene Standard FIDO2 verspricht das Ende der Passwort-Ära. Doch wie funktioniert die Technologie, wo wird sie bereits eingesetzt und welche Herausforderungen bleiben?
Passwörter gelten seit Jahren als Sicherheitsrisiko. Sie werden vergessen, wiederverwendet oder durch Phishing-Angriffe kompromittiert. Mit FIDO2 steht seit 2018 ein offener Standard bereit, der eine passwortlose Zukunft ermöglichen soll. Die Technologie hat sich mittlerweile in zahlreichen Diensten etabliert und wird von allen großen Browserherstellern unterstützt.
Was ist FIDO2?
FIDO2 ist ein offener Authentifizierungsstandard, der von der FIDO Alliance entwickelt wurde. Er besteht aus zwei Hauptkomponenten: dem W3C-Standard WebAuthn (Web Authentication) und dem CTAP2-Protokoll (Client to Authenticator Protocol 2). Während WebAuthn die Kommunikation zwischen Webanwendung und Browser regelt, ermöglicht CTAP2 die Verbindung zu externen Authentifikatoren wie USB-Sicherheitsschlüsseln oder Smartphones.
Das Grundprinzip basiert auf asymmetrischer Kryptografie. Bei der Registrierung erzeugt der Authenticator ein Schlüsselpaar: Der private Schlüssel verbleibt sicher auf dem Gerät, während der öffentliche Schlüssel beim Dienst hinterlegt wird. Bei jeder Anmeldung signiert der Authenticator eine Challenge mit dem privaten Schlüssel, die der Server mit dem öffentlichen Schlüssel verifiziert. Da der private Schlüssel das Gerät nie verlässt, können selbst erfolgreiche Server-Kompromittierungen nicht zur Übernahme anderer Accounts führen.
Welche Angriffe FIDO2 verhindert und welche nicht
FIDO2 gilt als eine der wirksamsten Maßnahmen gegen eine ganze Klasse moderner Authentifizierungsangriffe. Durch den Verzicht auf gemeinsam genutzte Geheimnisse (Shared Secrets) verändert der Standard das Bedrohungsmodell grundlegend, beseitigt aber nicht jedes Risiko vollständig.
Effektiv verhindert FIDO2 insbesondere:
Phishing-Angriffe
FIDO2 ist von Haus aus phishing-resistent. Der kryptografische Anmeldevorgang ist an die konkrete Domain gebunden, für die der Schlüssel registriert wurde. Selbst wenn Nutzer auf eine täuschend echte Phishing-Seite hereinfallen, kann der Authenticator dort keine gültige Signatur erzeugen.
Credential Stuffing und Passwort-Wiederverwendung
Da keine Passwörter existieren, können gestohlene Zugangsdaten aus Datenlecks nicht weiterverwendet werden. Jeder Dienst besitzt ein eigenes, einzigartiges Schlüsselpaar.
Man-in-the-Middle- und Replay-Angriffe
Die Anmeldung basiert auf einer einmaligen Challenge, die kryptografisch signiert wird. Abgehörte oder aufgezeichnete Daten sind wertlos und können nicht erneut verwendet werden.
Datenbank-Leaks auf Serverseite
Selbst bei einem vollständigen Kompromittieren der Server-Datenbank gelangen Angreifer nur an öffentliche Schlüssel. Diese lassen sich nicht zur Anmeldung oder zur Ableitung privater Schlüssel missbrauchen.
Nicht oder nur eingeschränkt verhindert werden:
Kompromittierte Endgeräte
Ist ein Gerät bereits mit Malware infiziert oder vollständig unter Kontrolle eines Angreifers, kann auch FIDO2 keinen absoluten Schutz bieten. In solchen Szenarien können Anmeldungen missbraucht werden, solange der Authenticator verfügbar ist.
Social Engineering bei Account-Recovery
Der größte verbleibende Schwachpunkt liegt häufig außerhalb des eigentlichen Login-Prozesses. Wenn Angreifer erfolgreich Support-Prozesse, E-Mail-Recovery oder Identitätsprüfungen umgehen, kann auch ein FIDO2-geschützter Account übernommen werden.
Physischer Geräteverlust ohne zusätzliche Absicherung
Geht ein Gerät verloren und ist der lokale Zugriff nicht ausreichend durch PIN, Biometrie oder Gerätesperre geschützt, besteht ein Restrisiko – insbesondere bei Plattform-Authenticators.
Missbrauch legitimer Sitzungen
FIDO2 schützt die Anmeldung, nicht jedoch automatisch bestehende Sessions. Session-Hijacking oder XSS-Angriffe müssen weiterhin durch klassische Web-Sicherheitsmaßnahmen adressiert werden.
| Aspekt | Passwort | FIDO2 |
|---|---|---|
| Phishing | anfällig | resistent |
| Nutzeraufwand | hoch | niedrig |
| Wiederverwendung | häufig | unmöglich |
| Recovery | einfach | komplex |
Praktische Umsetzung
In der Praxis unterstützt FIDO2 verschiedene Authenticator-Typen. Plattform-Authenticatoren sind direkt in Geräte integriert, etwa Windows Hello, Touch ID auf Apple-Geräten oder Fingerabdrucksensoren auf Android-Smartphones. Externe Authenticatoren wie YubiKeys oder Google Titan-Keys verbinden sich per USB, NFC oder Bluetooth mit dem Gerät.
Die Benutzerfreundlichkeit hat sich deutlich verbessert. Moderne Implementierungen erlauben die Anmeldung per Fingerabdruck oder Gesichtserkennung in wenigen Sekunden. Passkeys, eine Weiterentwicklung von FIDO2, ermöglichen sogar die geräteübergreifende Synchronisation verschlüsselter Credentials über Cloud-Dienste. Apple, Google und Microsoft haben entsprechende Ökosysteme etabliert, die das Passkey-Management vereinfachen.
Welche Unternehmen setzen auf FIDO?
Die Unterstützung von FIDO2 ist mittlerweile breit gefächert. Microsoft, Google, Apple, Dropbox, PayPal und zahlreiche weitere Dienste bieten passwortlose Anmeldung an. Insbesondere im Unternehmensumfeld gewinnt die Technologie an Bedeutung, da sie sowohl die Sicherheit erhöht als auch die Kosten für Password-Reset-Anfragen reduziert.
Dennoch bleibt die tatsächliche Nutzung hinter den Möglichkeiten zurück. Viele Anwender sind mit der Technologie nicht vertraut oder nutzen FIDO2 lediglich als zweiten Faktor zusätzlich zum Passwort. Die Hürde der initialen Einrichtung und mangelndes Bewusstsein für die Vorteile bremsen die Adoption.
Herausforderungen und Ausblick
Trotz technischer Reife bleiben Herausforderungen bestehen. Die Account-Recovery bei Verlust aller registrierten Authenticatoren erfordert Fallback-Mechanismen, die oft wieder auf traditionelle Methoden wie E-Mail-Verifizierung zurückgreifen. Die Interoperabilität zwischen verschiedenen Passkey-Anbietern ist noch nicht vollständig gelöst, was zu fragmentierten Nutzererlebnissen führen kann.
Zudem stellt sich die Frage nach der Privatsphäre: Während FIDO2 selbst keine tracking-relevanten Informationen preisgibt, könnten zentralisierte Passkey-Verwaltungsdienste theoretisch Nutzerverhalten analysieren. Die FIDO Alliance arbeitet kontinuierlich an Verbesserungen, etwa an der Portabilität von Credentials zwischen verschiedenen Ökosystemen.
Die Zukunft der Authentifizierung ist dennoch klar: Passwörter werden zunehmend durch kryptografische Verfahren ersetzt. Mit zunehmender Unterstützung durch Betriebssysteme, Browser und Dienste sowie steigender Nutzerakzeptanz dürfte FIDO2 in den kommenden Jahren zum de-facto-Standard werden. Die Technologie ist ausgereift. Jetzt gilt es, Anwender und Entwickler gleichermaßen von den Vorteilen zu überzeugen.
